Debe activar manualmente los detectores de NSX Suspicious Traffic que desee supervisar. Solo los detectores que estén activados se utilizarán para supervisar eventos de tráfico de red sospechosos.

Utilice los siguientes pasos para activar un detector de NSX Suspicious Traffic compatible para realizar un análisis del tráfico de red en los datos de tráfico recopilados.

Procedimiento

  1. En un navegador, inicie sesión con los privilegios necesarios en un dispositivo de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Utilice los siguientes pasos para activar un detector de NSX Suspicious Traffic compatible para realizar un análisis del tráfico de red en los datos de tráfico recopilados.
    Tenga en cuenta que los siguientes pasos son para todos los detectores disponibles, excepto para los basados en DNS, que deben configurarse manualmente antes de que se puedan utilizar. Consulte el siguiente paso después de este para obtener información sobre la configuración de detectores basados en DNS.
    1. Desplácese hasta la pestaña Detección y respuesta a amenazas > Configuración > Definiciones del detector de NTA.
    2. Busque el detector o los detectores que desee activar.
    3. Marque la casilla que aparece junto a cada detector y haga clic en Activar.
      Los detectores activados aparecen con el estado Activado en la pestaña Definiciones del detector de NTA.
  3. Para activar detectores basados en DNS, como el algoritmo de generación de dominios (DGA) y la tunelización de DNS, realice los siguientes pasos una sola vez.
    1. Cree un perfil de contexto de DNS personalizado o utilice un perfil de contexto predeterminado proporcionado por el sistema.
      Para obtener más información, consulte Perfiles de contexto.
    2. Cree una regla de firewall distribuido usando ANY en las columnas Orígenes y Destinos; y usando el perfil de contexto de DNS, si creó uno.
      Para obtener más información, consulte Agregar un firewall distribuido.
    3. Desplácese hasta la pestaña Detección y respuesta a amenazas > Configuración > Definiciones del detector de NTA.
    4. Busque el detector que desea activar.
    5. Marque la casilla que aparece junto al detector y haga clic en Activar.
      En la columna Estado se muestra el estado Activado para los detectores activados.
  4. (opcional) Siga estos pasos para desactivar el detector de NSX Suspicious Traffic admitido para detener el análisis de tráfico de red.
    1. Desplácese hasta la pestaña Detección y respuesta a amenazas > Configuración > Definiciones del detector de NTA.
    2. Busque el detector o los detectores que desee desactivar.
    3. Marque la casilla que aparece junto a cada detector y haga clic en Desactivar.
      En la columna Estado se muestra el estado Desactivado para los detectores desactivados.

Resultados

La columna Estado muestra el estado Activado o Desactivado.

Qué hacer a continuación

Supervise y analice los eventos de tráfico sospechoso detectados.